Exchange Server 2019 Client Access Rule ile EAC ve Remote Powershell erişimlerini sınırlama
Exchange Server 2019 ile birlikte gelen yeteneklerden biri olan Client Access Rule ile Exchange Admin Center (EAC) ve Romete Powershell erişimleri belirli kriterler doğrultusunda (IP, Active Directory Attributes vs..) kısıtlanabilmektedir.
Client Access Rule'ları sadece Exchange Management Shell vasıtasıyla yönetebiliriz. EAC üzerinde GUI tabanlı bir yönetim konsolu bulunmamaktadır.
Ip Tabanlı Engelleme Kuralı
3 farklı şekilde tanımlama yapılabilir . Bunlar;
- Sadece IP adresi, Örnek: 192.168.1.1
- IP adres aralığı, Örnek: 192.168.1.1 - 192.168.1.20
- Subnet, Örnek: 192.168.1.0/24
Aşağıdaki komut yardımıyla yeni bir Client Access Rule
oluşturuyoruz.
EAC için:
New-ClientAccessRule -Name "ECP ERISIM KURALI" -Action DenyAccess -AnyOfProtocols ExchangeAdminCenter -ExceptAnyOfClientIPAddressesOrRanges 10.10.10.21
Remote Powershell için:
New-ClientAccessRule -Name "POWERSHELL ERISIM KURALI" -Action DenyAccess -AnyOfProtocols RemotePowershell -ExceptAnyOfClientIPAddressesOrRanges 10.10.10.21
Tanımlamış olduğumuz Client Access Rule'da 10.10.10.21 IP adresi
dışındaki tüm EAC ve Remote Powershell erişimleri engellenecektir.
Active Directory Attribute Tabanlı Engelleme Kuralı
Aktif Dizinde yer alan bir kullanıcının attribute'lerine göre EAC veya
Remote Powershell erişim kuralı tanımlayabiliriz. Hangi attritbute'ler
kullanabileceğimizi parametler ve alabileceği değerler bölümünde detaylı
bir şekilde açıklayacağım.
EAC için:
New-ClientAccessRule -Name "IT ECP ERISIM KURALI" -Action DenyAccess -AnyOfProtocols ExchangeAdminCenter -UserRecipientFilter {Department -ne "IT"}
Remote Powershell için:
New-ClientAccessRule -Name "IT ECP ERISIM KURALI" -Action DenyAccess -AnyOfProtocols RemotePowershell -UserRecipientFilter {Department -ne "IT"}
Tanımlamış olduğumuz Client Access Rule kurallarında "Depertment" attribute'unda "IT" yazan kullanıcılar dışındaki tüm EAC ve Remote Powershell erişimleri engellenecektir.
Parametreler ve Alabileceği Değerler
AnyOfAuthenticationTypes
EAC için: AdfsAuthentication
ve BasicAuthentication
Remote Powershell için:
BasicAuthentication and
NonBasicAuthentication
Birden fazla değer tanımlayabilirsiniz ("deger1","deger2")
AnyOfClientIPAddressesOrRanges
Sadece IP adresi, Örnek:
192.168.1.1
IP adres aralığı, Örnek:
192.168.1.1 - 192.168.1.20
Subnet, Örnek:
192.168.1.0/24
Birden fazla değer tanımlayabilirsiniz (IP1,IP2)
AnyOfProtocols
ExchangeAdminCenter
RemotePowerShell
Birden fazla değer tanımlayabilirsiniz ("deger1","deger2")
Scope
Users: Kural sadece son
kullanıcılar için geçerli olacaktır.
All: Kural tüm kullanıcı
türleri için geçerli olacaktır. (end-users ve middle-tier apps).
UsernameMatchesAnyOfPatterns
Kullanıcının acoount name'ini
<Domain>\<UserName>
biçiminde tanımlamak için text ve wildcard karakter (*)
kullanabiliriz(örnek, test.com\okuru veya *okuru*, okuru* kabul edilmez!).
UserRecipientFilter
Kullanılabilecek Attritbute'ler
City
Company
CountryOrRegion
CustomAttribute1 to CustomAttribute15
Department
Office
PostalCode
StateOrProvince
StreetAddress
"<Property> -<Karşılaştırma operatörü>
'<Değer>'"
şekilde tanımlama yapılır.
Örnek: City -eq 'Ankara'
Client Access Rule için kullanılan komut setleri
Get-ClientAccessRule: mevcut client access rule'ları
listeler
New-ClientAccessRule: yeni client access rule tanımlamaya olanak
sağlar.
Set-ClientAccessRule: mevcut client access rule üzerinde değişik
yapmaya olanak sağlar.
Test-ClientAccessRule: tanımladığımız cliet access rule'u test
edebiliriz.
Remove-ClientAccessRule: client access rule silmek için
kullanılır.
Teşekkürler.
.png)
Yorumlar
Yorum Gönder